●目錄Chapter 1 第1章 關鍵信息基礎設施安全現狀11.1 基本概念11.1.1 基礎設施和重要信息繫統11.1.2 關鍵基礎設施和關鍵信息基礎設施21.2 關鍵信息基礎設施範圍41.2.1 網絡安全法界定的範圍41.2.2 國家網絡空間安全戰略界定的範圍41.2.3 關鍵信息基礎設施安全保護條例界定的範圍51.3 安全現狀61.3.1 安全生態持續優化61.3.2 安全事件層出不窮7Chapter 2 第2章 網絡安全法92.1 網絡安全法的法律精髓92.1.1 一部網絡安全領域基礎性法律92.1.2 二類責任主體92.1.3 三項基本原則102.1.4 一個意識、四個抓手112.1.5 五類主體安全義務112.1.6 六類網絡安全保護制度122.2 《國家網絡空間安全戰略》與《網絡安全法》的關繫142.3 《網絡安全法》重點保護關鍵信息基礎設施152.4 基於《網絡安全法》關鍵信息基礎設施安全172.4.1 建立健所有渠道絡安全管理制度172.4.2 完善一般安全保護義務172.4.3 做好增強安全保護義務182.4.4 建議關鍵信息基礎設施運營者的重點工作192.5 實施過程中面臨的挑戰212.5.1 網絡安全執法體制和部門職責212.5.2 《網絡安全法》配套法規和制度細則222.6 關於關鍵信息基礎設施采購網絡產品和服務的說明222.6.1 必知的強制性要求232.6.2 產品認證和檢測制度232.6.3 發布網絡安全信息242.6.4 嚴禁網絡安全漏洞驗證和利用252.6.5 安全服務人員準入要求25Chapter 3 第3章 網絡安全審查263.1 網絡安全審查的意義和目的263.1.1 網絡安全審查是維護國家安全利益的意志體現263.1.2 網絡安全審查是國家網絡安全治理的手段273.1.3 網絡安全審查是國家主權的體現283.2 網絡安全審查的主要內容283.2.1 適用主體和審查內容283.2.2 審查方式293.2.3 審查主體303.2.4 審查原則303.2.5 審查流程313.2.6 未申報未通過的後果323.3 實施過程中面臨的問題和困境323.3.1 安全主體責任問題323.3.2 網絡產品和服務界定問題34Chapter 4 第4章 網絡安全等級保護354.1 網絡安全等級保護的安全理念354.1.1 邊界界定引發的網絡安全保障模型364.1.2 主體責任引發的網絡安全建設需求394.2 深入理解網絡安全等級保護394.2.1 分等級保護是底線思維394.2.2 分等級保護是管理手段404.2.3 分等級保護是能力體現414.3 網絡安全等級保護的基本內容424.3.1 網絡安全等級保護的主體和責任424.3.2 網絡安全等級保護對像434.3.3 等級保護常規動作444.3.4 常規動作在實施過程中的基本要求454.3.5 實施等級保護的基本原則464.3.6 等級保護的發展歷程474.3.7 網絡安全等級保護的標準體繫48Chapter 5 第5章 網絡安全等級保護2.0525.1 如何理解網絡安全等級保護2.0525.2 網絡安全等級保護2.0新變化545.2.1 體繫架構變化545.2.2 命名變化565.2.3 等級保護指標數量變化565.2.4 新增可信計算585.2.5 安全通用技術變化585.2.6 安全通用管理變化615.3 網絡安全等級保護2.0基本要求635.3.1 安全通用要求635.3.2 雲計算安全擴展要求655.3.3 移動互聯安全擴展要求655.3.4 物聯網安全擴展要求665.3.5 工業控制繫統安全擴展要求66Chapter 6 第6章 等級保護和關鍵信息基礎設施運營者676.1 定級676.1.1 等級保護對像和安全保護等級686.1.2 定級工作主要內容696.1.3 等級保護對像中的定級要素分析706.1.4 如何識別等級保護對像726.1.5 安全擴展要求的定級對像726.1.6 定級工作流程736.1.7 定級工作方法746.1.8 定級對像等級如何審批和變更756.2 備案766.2.1 備案需要什麼資料766.2.2 備案資料的審核要點776.2.3 屬地受理備案786.2.4 公安機關受理備案要求796.2.5 拒不備案的處置過程796.3 安全建設整改806.3.1 安全建設整改目的和整改流程806.3.2 如何整改安全管理制度816.3.3 如何整改安全技術措施866.4 等級測評916.4.1 基本工作916.4.2 測評工作流程有哪些936.4.3 網絡安全等級保護2.0測評指標1016.4.4 網絡安全等級保護2.0測評結論1056.4.5 誰來開展等級測評1056.4.6 如何規避測評風險1056.5 監督檢查1076.5.1 等級保護監督檢查內容1076.5.2 檢查方式和檢查要求1096.5.3 整改通報110Chapter 7 第7章 關鍵信息基礎設施安全保護條例1117.1 關鍵信息基礎設施法律政策和標準依據1117.1.1 《網絡安全法》1117.1.2 《關鍵信息基礎設施安全保護條例》1127.1.3 國家網絡空間安全戰略1127.1.4 關鍵信息基礎設施安全檢查評估指南1127.1.5 關鍵信息基礎設施安全保障評價指標體繫1137.1.6 關鍵信息基礎設施網絡安全保護基本要求1137.2 強化關鍵信息基礎設施的安全特色1147.2.1 網絡安全對抗風險高1147.2.2 網絡安全法律要求高1147.2.3 網絡安全建設要求高1147.2.4 網絡安全測評要求高1147.2.5 網絡安全監管要求高1157.2.6 網絡安全日常運維成本高1157.2.7 網絡安全主體責任格局高1157.2.8 網絡安全思維層次高1157.2.9 網絡安全事件應急要求高1157.2.10 網絡安全人纔質量高1167.3 細化網絡運營者的安全義務1167.3.1 賦予的安全保護1167.3.2 做好“網絡安全三同步”1167.3.3 網絡安全主體責任制1177.3.4 關鍵信息基礎設施保護義務進一步強化1177.3.5 強化的網絡安全管理與人員管理1177.3.6 監測預警1187.3.7 應急處置1187.3.8 檢測評估1197.4 主體責任1197.4.1 國家主導網絡安全生態1197.4.2 監管部門1207.4.3 行業主管部門1207.4.4 公安機關121Chapter 8 第8章 網絡安全等級保護條例1228.1 必要性和意義1228.1.1 完善網絡安全法的需要1228.1.2 落實網絡安全等級保護制度的需要1238.1.3 解決網絡安全突出問題的需要1238.2 主要內容1248.2.1 總則和國家意志1248.2.2 支持保障和職能部門1258.2.3 網絡安全保護和網絡運營者1268.2.4 涉密網絡繫統的安全保護1278.2.5 密碼管理1278.2.6 監督管理和監管部門1288.3 公安機關和網絡安全等級保護條例1288.3.1 安全監督管理1288.3.2 安全檢查1298.3.3 安全處置手段1298.3.4 安全責任1308.4 網絡運營者和網絡安全等級保護條例1318.4.1 承擔責任和安全要求1318.4.2 履行安全保護義務1328.4.3 測評機構管理要求1338.4.4 網絡服務機構管理1348.5 引起關注的典型問題或困境1348.5.1 合規成本與企業發展之間的矛盾1348.5.2 監管部門與行業主管部門之間的關繫1348.5.3 網絡安全等級保護配套法規有待完善1358.5.4 條例和部門規章135Chapter 9 第9章 工業控制繫統安全1379.1 工業控制繫統概述1379.1.1 工業控制繫統的概念和定義1379.1.2 工業控制繫統分層模型1399.1.3 工業控制繫統與傳統信息繫統的區別1409.1.4 工業控制主機與傳統計算機主機的區別1419.2 工業控制繫統安全現狀1419.2.1 震網安全事件帶來的啟示1419.2.2 工業控制安全風險現狀1429.2.3 深入組件理解工控安全事件1429.3 工業控制繫統安全建設和管理1449.3.1 工控安全法律法規1449.3.2 基於安全技術的建設措施1459.3.3 基於等級保護2.0的建設措施149Chapter 10 第10章 工業互聯網安全15210.1 工業互聯網概述15210.1.1 工業互聯網的概念和定義15210.1.2 工業互聯網的地位和作用15410.1.3 工業互聯網的組成15510.1.4 深入理解工業互聯網的改變15510.1.5 關鍵支撐技術15610.2 工業互聯網安全15710.2.1 工業互聯網安全需求分析15710.2.2 工業互聯網安全現狀15810.3 工業互聯網安全建設和管理16010.3.1 法律法規16010.3.2 安全建設和管理措施16110.3.3 面臨的困境和問題162Chapter 11 第11章 個人信息安全16311.1 個人信息安全基本概念16311.1.1 個人信息16311.1.2 個人敏感信息16511.2 個人信息安全法律法規16611.2.1 《網絡安全法》16611.2.2 《刑法》司法解釋16611.3 重要數據出境安全評估16711.3.1 基本概念16711.3.2 出境數據的界定和評估內容16711.3.3 禁止出境的數據16811.3.4 評估流程16811.3.5 關鍵信息基礎設施運營者重點關注內容16911.4 個人信息出境安全評估辦法17011.4.1 評估範圍的變化17111.4.2 評估流程的變化17111.4.3 出境的個人信息17211.5 個人信息安全規範17211.5.1 個人信息安全基本原則17211.5.2 個人信息安全收集17311.5.3 個人信息安全保存17311.5.4 個人信息安全使用17411.5.5 個人信息安全共享轉讓披露17511.6 互聯網個人信息安全保護指南17611.6.1 公安合規與國標合規對比17611.6.2 適用範圍17711.6.3 技術措施17711.6.4 管理措施17711.6.5 業務流程17811.6.6 應急處置180Chapter 12 第12章 數據安全法18112.1 《數據安全法》的地位和作用18112.2 《數據安全法》的主要內容18212.2.1 適用範圍18312.2.2 數據安全管理責任主體18312.2.3 數據安全產業18412.2.4 數據安全制度18512.2.5 數據安全保護義務18612.2.6 政務數據安全18812.2.7 數據安全法律責任18912.3 面臨的困境和問題19012.3.1 數據安全面臨的痛點19012.3.2 數據安全業務流程的細化19112.3.2 《數據安全法》和《數據安全管理辦法》192Chapter 13 第13章 密碼法19313.1 《密碼法》的作用和地位19313.1.1 密碼的重要性19313.1.2 《密碼法》的必要性19413.1.3 運用《密碼法》的基本原則19513.2 《密碼法》的主要內容19613.2.1 密碼的概念和分類19613.2.2 核心和普通密碼管理和使用19713.2.3 商用密碼的管理和使用19713.2.4 法律責任19813.3 商用密碼與等級保護2.019913.3.1 等級保護中的密碼要求20013.3.2 如何開展商用密碼測評201Chapter 14 第14章 關鍵信息基礎設施安全建設20314.1 關鍵信息基礎設施安全技術20314.1.1 內生安全和關鍵信息基礎設施20314.1.2 重要信息繫統安全20414.1.3 工業互聯網安全20414.2 關鍵信息基礎設施安全建設20514.2.1 基於等級保護的安全建設20514.2.2 基於關鍵信息基礎設施安全標準的安全建設20514.3 關鍵信息基礎設施安全建設建議20614.3.1 注重生態治理20614.3.2 注重數據安全20714.3.3 注重基礎防護20714.3.4 注重保障體繫208Chapter 15 第15章 關鍵信息基礎設施安全事件管理20915.1 網絡安全事件管理20915.1.1 網絡安全事件的分類分級管理20915.1.2 《網絡安全法》中的網絡安全事件管理21215.1.3 網絡安全事件應急處置流程21315.1.4 網絡安全事件日常管理工作21415.2 網絡安全預警通報管理21515.2.1 預警等級21615.2.2 預警研判和發布21615.2.3 網絡安全信息通報實施辦法21615.2.4 建立信息通報日常工作機制21615.2.5 信息通報內容和方式21715.3 網絡安全風險評估管理21815.3.1 法規依據21815.3.2 網絡信息資產分類21915.3.3 網絡安全風險評估過程21915.3.4 網絡安全風險評估所需資料220Chapter 16 第16章 新型基礎設施建設安全20916.1 新型基礎設施建設的背景和意義22216.1.1 新基建的概念22216.1.2 新基建中的“新”22316.1.3 新基建的地位和作用22316.2 新型基礎設施建設的範圍22416.2.1 信息基礎設施22416.2.2 融合基礎設施22516.2.3 創新基礎設施22516.3 新型基礎設施建設與網絡安全22516.3.1 主動防御22516.3.2 數據安全22616.3.3 自主可控22616.3.4 軟件供應鏈安全22716.3.5 智慧安全22716.3.6 融合安全228Chapter 17 附錄A 中華人民共和國網絡安全法229Chapter 18 附錄B 中華人民共和國密碼法243Chapter 19 附錄C 中華人民共和國數據安全法(草案)250Chapter 20 附錄D 網絡安全審查辦法256Chapter 21 附錄E 網絡安全等級保護條例(征求意見稿)260Chapter 22 附錄F 關鍵信息基礎設施安全保護條例(征求意見稿)274Chapter 23 參考文獻283
本書以關鍵信息基礎設施為對像,討論合規前提下的關鍵信息基礎設施安全。本書共16章,主要內容包括:網絡安全法、網絡安全審查、網絡安全等級保護、關鍵信息基礎設施安全保護條例、網絡安全等級保護條例、工業控制繫統安全、工業互聯網安全、個人信息安全、數據安全、密碼安全、關鍵信息基礎設施安全建設、關鍵信息基礎設施安全事件管理、新基建安全等法律法規標準規範,從基本概念、作用地位、合規要求解讀和合規安全建設角度剖析關鍵信息基礎設施安全。 本書主要面向關鍵信息基礎設施主管部門、運營部門、建設使用部門學習國家繫列法律法規和政策的人員;面向關鍵信息基礎設施提供網絡產品和服務的人員;面向網絡安全相關部門開展監督管理、執法檢查和安全規劃建設工作的人員;也可供網絡安全管理人員,網絡安全專業人員,網絡安全服務人員以及網絡空間安全專業本科生等使用。